Deze week begon met de ontdekking van een bedreiging genaamd Octopus Scanner die is aangetroffen in geïnfecteerde GitHub-opslagplaatsen. Wat we weten is dat het al enkele weken op de loer ligt op het cloudplatform en het is gemaakt door een onbekende hackgroep. De malware is ontdekt door het GitHub-beveiligingsteam tijdens een analyse van de gehoste projecten. De Octopus Scanner wordt gezien als een gevaarlijke bedreiging die is geprogrammeerd om zichzelf voornamelijk te implementeren via de Apache NetBeans-ontwikkelomgeving.
De Octopus Scanner Malware gebruikt GitHub als distributiemedium
GitHub is een van de toonaangevende opslagplaatsen voor het plaatsen van software en gerelateerde projecten en bevat gevaarlijke malware die bekend staat als de Octopus-scanner. Dit virus is gemaakt door een onbekende hackgroep en is op verschillende repositories geplaatst. Het doel van de criminele groepen is om een tactiek te gebruiken gebaseerd op het principe dat ontwikkelaars profiteren van de gepubliceerde code en deze integreren in hun eigen projecten. Bij de gedetecteerde aanvalscampagne lag de nadruk op de gebruikers van de Apache Netbeans HIER (geïntegreerde ontwikkelomgeving), een van de meest populaire tools voor het maken van Java-applicaties. Het GitHub-beveiligingsteam werd door een beveiligingsonderzoeker op de hoogte gebracht van verdachte code die aanleiding gaf tot een onderzoek dat leidde tot de ontdekking van de bedreiging.
Veel opslagplaatsen zijn geïnfiltreerd met deze code - bij verdere beoordeling de eigenaren wisten niet dat hun code was gewijzigd om de malware op te nemen. Dit alles toont aan dat het erg moeilijk is om te volgen waar de eerste infectie is opgetreden.
Wanneer een repository met de malwarecode in de NetBeans-software wordt geladen, wordt het virus automatisch gestart. De eerste acties zullen betrekking hebben op het mechanisme van het inbedden van achterdeuren in de projecten die binnen de ontwikkelingssoftware worden geopend. Dit wordt gedaan via een component genaamd a dropper — het is ontworpen om door hackers gemaakte code erin te laden. Wanneer de gecompileerde uitvoerbestanden worden gekopieerd en gestart op een bepaald systeem, zullen de besmette gegevens de relevante druppelaar starten als onderdeel van de opstartprocedure. De backdroor-code start verschillende gevaarlijke malwareacties:
- Files Infection — De malwarecode zorgt ervoor dat in alle relevante bestanden de viruscode wordt gekopieerd. Dit wordt gedaan om de replicatie van de bedreiging voort te zetten.
- persistent Installatie –De malwarecode die in de Java-projecten wordt ingesloten, zorgt ervoor dat de engine elke keer dat het systeem wordt gestart, wordt gestart.
- Trojan Horse Infectie — De meegeleverde code bevat RAT-functionaliteit waarmee de externe aanvallers controle kunnen krijgen over de geïnfecteerde computers. Dit kan diefstal van bestanden en bewaking omvatten.
De veiligheidsanalyse bracht aan het licht dat die er zijn verschillende versies van de Octopus Scanner dusver. De verschillende variaties zijn te vinden in de GitHub-opslagplaatsen. Alle gevaarlijke code wordt versluierd waardoor het moeilijker te detecteren is. Het is niet bekend of de hackers de kerncode zullen wijzigen om Octopus Scanner op andere systeemcomponenten te implementeren.